防火墙--iptables（SNAT和DNAT）

1.iptables服务环境

systemctl stop firewalld  ##关闭firewalld防火墙

yum -y install iptables iptables-services
systemctl start iptables.service  ##启动iptables防火墙
systemctl enable iptables.service

2.iptables配置

配置文件：/etc/sysconfig/iptables
对规则的修改：需要全部刷新策略，丢失连接
防火墙类型：静态防火墙

3.数据包过滤的匹配流程

4.iptables规则

规则表的作用：容纳各种规则链
规则链的作用：容纳各种防火墙规则
规则作用：对数据包的过滤或处理
链的分类依据：处理数据包的不同时机

4.1iptables规则表

规则表	作用
raw表	确定是否对该数据包进行状态追踪
​ mangle表	为数据包设置标记
​ nat表	修改数据包中的源、目标IP地址或端口
​ filter表	确定是否放行该数据包(过滤)

规则表的顺序：raw→mangle→nat→filter

4.2iptables规则链

规则链	作用
​ INPUT	处理入站数据包
​ OUTPUT	处理出站数据包
​ FORWARD	处理转发数据包
​ POSTROUTING	在进行路由选择后处理数据包 ===>SNAT基于源地址
​ PREROUTING	在进行路由选择前处理数据包 ===>DNAT基于目的地址

规则链的顺序：

入站：PREROUTING→INPUT

出战：OUTPUT→POSTROUTING

转发：PREROUTING→FORWARD→POSTROUTING

顺序依次检查，匹配即停止
找不到匹配规则，按默认策略处理

4.3表、链归纳图

5.iptables基本语法

iptables 【-t 表名】 选项 【链名】 【条件】 【-j 控制类型】

注意事项：
不指定表明时、默认指filter表
不指定链名时，默认指表内的所有链
除非设置链的默认策略，否则必须指定匹配条件
选项、链名、控制类型使用大写字母，其余均为小写
清空规则时，默认策略不受影响，修改默认策略用-P选项覆盖，且默认策略只有accept和drop，默认策略不参加规则编排
选项：
-A：在指定链末尾添加一条新的规则（–append）
-D：删除指定链中的某一条规则，可指定规则序号或具体内容（–delete）
-I：在指定链中插入一条新的规则，未指定序号时默认作为第一条规则（–insert）
-R：修改、替换指定链中的某一条规则，可指定规则序号或具体内容（–replace）
-L：列出指定链中所有的规则，若未指定链名，则列出表中所有链（–list）
-F：清空指定链中的所有规则，若未指定链名，则清空表中的所有链（–flush）
-P：设置指定链的默认策略（–policy）
-n：使用数字形式显示输出结果，如IP地址而不是主机名（–numeric）
-V：查看时显示详细信息
-h：查看帮助
–Line-numbers：显示行号
控制类型：
ACCEPT：允许通过
DROP：直接丢弃，不给出任何回应
REJECT：拒绝通过，必要时会给提示
LOG：记录日志信息，然后继续向下匹配规则

5.1规则的匹配条件

5.1.1通用匹配

可直接使用,不依赖于其他条件或扩展
​包括网络协议、IP地址、网络接口等条件
协议匹配:： -p 协议名
·常用协议：tcp、udp、icmp、all（所有）

​地址匹配： -s 源地址 -d 目的地址
例：

-s 192.168.20.10  ##源地址 默认子网掩码32位的主机地址
-d 192.168.20.0/24  ##目标地址为 网段地址

接口匹配： -i 入站网口 -o 出站网口（网卡）
例：

iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -i ens33 -p all -j ACCEPT
                                                  -o ens37

5.1.2隐含匹配

​ 要求以特定的协议匹配作为前提
​ 包含端口、TCP标记、ICMP类型等条件
端口匹配：- -sport 源端口、- -dport 目的端口
例：

iptables -A INPUT -s 192.168.20.0/24 -p udp --deport 53 -j ACCEPT
iptables -A OUTPUT -s 192.168.20.0/24 -p udp --sport 53:20:21 -j ACCEPT

ICMP类型匹配：–icmp-type ICMP类型
·ICMP类型：8（request）拒绝、0（reply）丢弃、3（host unreachable）主机不可达
例：

-p icmp --icmp-type 8

5.1.3显式匹配

​要求以"-m 扩展模块"的形式明确指出类型
包含多端口、MAC地址、IP范围、数据包状态等条件
多端口匹配：
-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
例：

-m multiport --deport 20,21,53,80

IP范围匹配：-m iprange --src-range 源IP范围
-m iprange --dst-range 目标IP范围
例：

-m iprange --src-range 192.168.20.10-192.168.20.20
-m iprange --dst-range 192.168.20.10-192.168.20.20

MAC地址匹配：-m mac --mac-source MAC地址
例：

-m mac --mac-source 00:0c:29:7d:b8:d5

状态匹配：-m state --state 连接状态
·连接状态：NEW：与任何连接无关
ESTABLISHED：相应请求或已建连接
RELATED：与已有连接有相关性的，如FTP数据连接
例：

-m -state --state NEW -p tcp !--syn -j DROP

6. SNAT和DNAT

6.1环境准备

开启路由功能

echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf  ##配置路由功能配置文件
sysctl -p  ##更新路由配置

6.2 SNAT

原理：修改数据包中的源IP地址
作用：局域网主机共享单个公网IP地址接入Internet
配置：nat表中的POSTROUTING链（出战）

主机A想访问互联网上的主机C，首先将请求数据包发送到防火墙所在主机B，B收到后将数据包源地址改为本机公网网卡的ip，然后经互联网发送给C。

6.2.1 SNAT策略配置

iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o ens37 -j SNAT--to-source 218.29.30.31
##  -s 内网网段
##  -o 防火墙服务器外网网卡
##  -j SNAT策略
##  --to-source 防火墙服务器外网口IP地址

6.3 DNAT

原理：修改数据包中的目标IP地址
作用：将位于企业局域网中的服务器进行发布至互联网
配置：nat表中的PREROUTING链（入站）

互联网主机C想访问企业内部的web服务器A，但A的地址是私有地址，无法直接访问。此时，C可以访问防火墙的公网地址，C的请求数据包到达防火墙B后，在B上将请求数据包的目标地址进行修改，并将数据包发送给A。

6.3.1 DNAT策略配置

iptables -t nat -A PREROUTING -d 218.29.30.31 -i ens37 -j DNAT--to-destination 192.168.20.10
##  -d 防火墙服务器外网口IP地址
##  -i 防火墙服务器外网网卡
##  -j DNAT策略
##  --to-destination 内网服务器IP地址